Le logiciel malveillant BiBi-Windows Wiper utilisé contre Israël
Des chercheurs en sécurité ont émis un avertissement concernant une version Windows d'un malware wiper qui avait précédemment ciblé les systèmes Linux lors de cyberattaques contre Israël.
Nommé BiBi-Windows Wiper par BlackBerry, cet homologue Windows de BiBi-Linux Wiper, utilisé par un groupe hacktiviste pro-Hamas après la guerre entre Israël et le Hamas, suggère un développement continu du malware par les acteurs de la menace. Cette variante de Windows signifie une extension de l'attaque pour englober les machines des utilisateurs finaux et les serveurs d'applications. L'entreprise canadienne a divulgué cette information vendredi.
Une société de cybersécurité slovaque, traquant l'acteur derrière l'essuie-glace sous le nom de BiBiGun, a identifié la variante Windows (bibi.exe) comme étant conçue pour écraser de manière récursive les données du répertoire C:\Users avec des données indésirables, en ajoutant .BiBi au nom de fichier. Compilé le 21 octobre 2023, soit deux semaines après le début de la guerre, le mode de diffusion reste à ce jour inconnu.
Le BiBi-Windows Wiper corrompt tous les fichiers, à l'exclusion de ceux portant les extensions .exe, .dll et .sys. De plus, il supprime les clichés instantanés du système, empêchant ainsi les victimes de récupérer leurs fichiers. Semblable à son homologue Linux, la variante Windows démontre une capacité multithreading. Le déploiement de l'artefact dans des attaques réelles et ses cibles spécifiques restent flous pour le moment.
En quoi les logiciels malveillants Wiper sont-ils différents des ransomwares ?
Les logiciels malveillants Wiper et les ransomwares sont deux types de logiciels malveillants conçus pour endommager les systèmes informatiques, mais ils diffèrent par leurs principaux objectifs et fonctionnalités :
Objectif:
- Wiper Malware : L’objectif principal des logiciels malveillants wiper est de détruire ou d’effacer les données d’un système ciblé. Son objectif est de provoquer des perturbations, des dégâts ou des sabotages plutôt que d’extorquer de l’argent.
- Ransomware : Les ransomwares, quant à eux, visent à crypter les fichiers sur le système d'une victime et exigent ensuite une rançon (généralement en cryptomonnaie) de la victime en échange de la clé de déchiffrement. Le motif principal est le gain financier.
Le traitement des données:
- Wiper Malware : le malware Wiper détruit ou corrompt les données de manière irréversible, les rendant inaccessibles et rendant souvent le système inutilisable.
- Ransomware : Le ransomware crypte les données, les rendant inaccessibles, mais les données peuvent potentiellement être restaurées si la victime paie la rançon et obtient la clé de déchiffrement.
Communication avec les victimes :
- Wiper Malware : les logiciels malveillants Wiper ne communiquent généralement pas avec la victime. Une fois activé, il mène ses actions destructrices sans aucune négociation ni exigence.
- Ransomware : le ransomware communique avec la victime et affiche des notes de rançon qui fournissent des instructions sur la façon de payer la rançon et de recevoir la clé de déchiffrement.
Récupération:
- Wiper Malware : la récupération après les attaques de logiciels malveillants wiper peut être difficile, voire impossible, car les données sont définitivement endommagées ou détruites.
- Ransomware : Bien que le paiement de la rançon ne soit pas recommandé, certaines victimes choisissent de payer pour obtenir la clé de déchiffrement, restaurant potentiellement leurs fichiers. Cependant, cela ne garantit pas la récupération de toutes les données et peut encourager de nouvelles activités criminelles.